V rámci výkonu veřejné správy sbírají úřady o občanech řadu informací – od matričních a osobních údajů, přes informace o příjmech a majetku až po údaje o podnikání, přestupcích a trestný činech. Jak funguje správa informací ve státní správě? Jsou naše citlivé údaje v bezpečí? A jakým způsobem je státní správa chrání?
Státní správa versus samospráva
Pojmy „státní správa“ a „samospráva“ se často zaměňují, a není se čemu divit – tyto oblasti se totiž vzájemně prolínají a doplňují. Státní správa a samospráva představují dva základní pilíře veřejné správy v České republice. Státní správa zajišťuje dodržování a implementaci zákonů, předpisů a politik na národní úrovni. Řídí ji především ministerstva. Samospráva, na druhé straně, zahrnuje místní a regionální orgány, které spravují záležitosti na úrovni obcí a krajů.
Kdo vykonává státní správu?
Státní správu vykonávají různé úřady a instituce na národní úrovni. Vrcholným orgánem státní správy je vláda, která má postavení orgánu státní správy s všeobecnou působností. Podle kompetenčního zákona vykonávají státní správu tzv. ústřední orgány státní správy. To jsou jednak ministerstva, a dále úřady, v jejichž čele nestojí ministr, např. Český statistický úřad, Úřad pro ochranu hospodářské soutěže, Národní bezpečnostní úřad nebo Úřad pro ochranu osobních údajů.
Státní správu v přenesené působnosti vykonávají také obce a kraje. Státní správa v přenesené působnosti je způsob, jakým stát přenáší některé své úkoly na místní úřady. Typicky se jedná o vydávání stavebních povolení, organizaci voleb nebo vydávání občanských průkazů a pasů.
Co řeší samospráva?
Zatímco státní správa vykonává správu státních záležitostí na celostátní úrovni, územní samospráva se soustředí na správu místních záležitostí a zajištění veřejných služeb pro občany v daném regionu. To zahrnuje například správu škol, veřejné dopravy, odpadového hospodářství a dalších klíčových služeb. Důležitým úkolem je také podpora místní kultury a společenského života. Jelikož je samospráva blíž občanům, má možnost reagovat na specifické potřeby místních komunit a rychleji přizpůsobovat služby jejich požadavkům.
Kdo vykonává samosprávu?
Územní samosprávu vykonávají zvolení zástupci občanů, tedy členové zastupitelstev obcí a krajů. Ti ze svých řad volí starosty a místostarosty (v případě krajů hejtmany). Tito zástupci mají povinnost zastupovat zájmy svých voličů a zodpovědně rozhodovat o místních záležitostech. Jejich primárním úkolem je plánovat rozvoj obce, řídit rozpočet a koordinovat činnost různých místních institucí.
Význam dat ve státní správě
Nyní se konečně dostáváme ke gró dnešního článku: k ochraně dat. Aktuální, správná data jsou pro stát naprosto klíčová. Jejich kvalitní správa totiž přispívá ke zlepšení výkonu státních institucí a efektivnímu poskytování služeb veřejnosti. Má navíc významný dopad na rozhodování státu o rozpočtu, zdravotnictví nebo školství. Díky sesbíraným datům úřady lépe rozumí potřebám občanů a mohou investovat tam, kde je to nejvíc třeba. Správa dat však podléhá přísným právním regulacím, které se týkají sběru, uchovávání a zpracování dat.
Co je to ochrana dat?
Než si rozebereme konkrétní postupy ochrany dat, musíme pochopit, co to ta ochrana dat vlastně je, a jak se liší od zabezpečení dat a ochrany osobních údajů. Všechny pojmy spolu souvisí, ale zatímco ochrana dat zahrnuje strategie a procesy, které státní správa používá k zabezpečení citlivých dat proti poškození, zneužití a ztrátě, zabezpečení dat se zabývá integritou dat a snaží se je chránit před poškozením neoprávněnými uživateli. Ochrana osobních údajů potom stanoví, kdo má přístup k citlivým informacím, a určuje, co lze sdílet s třetími stranami.
Typy řešení ochrany dat
- Ochrana před únikem informací
Ochranná opatření před únikem informací pomáhají zabránit neautorizovanému sdílení nebo použití citlivých dat. V praxi to znamená, že systém ochrany dat monitoruje, co se děje s citlivými daty, jako jsou osobní údaje nebo finanční informace. Když pak například zaměstnanec ministerstva posílá e-mail s citlivými daty, systém jej upozorní, že by to mohlo být nebezpečné, a zabrání mu v odeslání. Tato opatření pomáhají zajistit dodržování zákona o zpracování osobních údajů a obecného nařízení Evropské unie o ochraně osobních údajů (GDPR).
- Replikace
Replikace dat je proces, který automaticky vytváří a udržuje kopie vašich dat na různých místech, například na různých serverech. Pokud tedy dojde k nějakému technickému problému, třeba výpadku serveru nebo ztrátě dat, máte k dispozici aktuální verzi informací na jiném místě. Pro lepší představu to znamená, že důležité údaje jsou uloženy v databázi, která každou hodinu kontroluje, zda došlo k nějakým změnám. Pokud někdo přidá nové informace, systém vytvoří kopii těchto dat a uloží ji na jiném serveru v jiné lokalitě. Když pak původní server selže, můžete přejít na replikovanou databázi, jako by se nic nestalo.
- Zálohování a úložiště s integrovanou ochranou
Na podobném principu jako replikace fungují i další ochranné mechanismy. Zálohování dat zahrnuje na rozdíl od replikace, která kopíruje data na různá místa v reálném čase, pravidelné vytváření záložních kopií dat, které se uchovávají pro případ, že by došlo k jejich ztrátě nebo poškození. Úložiště s integrovanou ochranou pak kombinuje prvky replikace a zálohování. Uchovává data na různých místech, a zároveň nabízí možnosti obnovení a správu verzí. Když omylem odstraníte důležitý soubor, úložiště vám umožní vrátit se k předchozí verzi nebo obnovit soubor z replikované kopie.
- Brány firewall
Brána firewall je bezpečnostní systém, který slouží jako ochranná zeď mezi vaší interní sítí a internetem. Jedná se o klíčový prvek v ochraně dat a systémů před neoprávněným přístupem a kybernetickými útoky. Brána firewall pracuje na základě předem definovaných pravidel, která určují, jaký provoz je povolen a jaký je blokován. Brány firewall poskytují důležité informace o aktivitě v síti, a především slouží jako první linie obrany před viry, ransomware, trojskými koňmi a dalším škodlivým softwarem.
- Šifrování
Šifrování zabezpečuje citlivé informace tím, že je převádí do formátu, který není čitelný pro neoprávněné osoby. Tento proces hraje klíčovou roli v ochraně dat, ať už jsou uložena nebo přenášena. Při šifrování se původní data („prostý text“) transformují do šifrovaného formátu („šifrovaný text„) pomocí algoritmu a klíče. Tento klíč je tajný a k dešifrovacímu klíči, který umožňuje převod šifrovaného textu zpět na čitelný prostý text, by měly mít přístup pouze oprávněné osoby.
- Zotavení po havárii (Disaster Recovery)
Zotavení po havárii je proces zaměřený na obnovení IT systémů a dat po přírodních katastrofách, kybernetických útocích nebo technických závadách. Zahrnuje analýzu rizik a dopadů, plánování konkrétních postupů pro obnovu systémů, pravidelné zálohování dat, testování plánu zotavení a samotnou obnovu po incidentu. Cílem je minimalizovat ztráty a zajistit kontinuitu provozu organizace i v případě vážných výpadků.
Kybernetické útoky na státní správu
V posledních letech čelí státní správa rostoucímu počtu kybernetických útoků, které mohou mít dalekosáhlé důsledky pro ochranu citlivých informací a plynulost provozu úřadů. Aby úřady předešli hackerským úrokům, dbají kromě výše zmíněné ochrany dat také na pravidelné školení zaměstnanců. Mezi nejčastější formy útoků totiž patří například phishing, kdy útočníci zasílají e-maily nebo zprávy, které vypadají jako komunikace od důvěryhodných institucí, s cílem získat citlivé informace.
Dalším rizikem je ransomware, což je škodlivý software, který zašifruje data na napadeném systému a požaduje výkupné za jejich obnovení. V minulém roce vzrostla také četnost DDoS útoků (Distributed Denial of Service). Tyto útoky spočívají v přehlcení systémů obrovským množstvím požadavků na server, což ho přetíží a znemožní mu reagovat na dotazy občanů.
Nový kybernetický zákon zajistí větší bezpečnost našich dat
Zákon o kybernetické bezpečnosti z roku 2014 zavedl pravidla a povinnosti, které pomáhají úřadům a orgánům státní správy předcházet kybernetickým hrozbám, a stanovil, jak mají reagovat v případě útoku. Zákon ukládá orgánům státní správy povinnosti v oblasti šifrování, ochrany koncových bodů, a především povinné hlášení incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). V červenci 2024 schválila vláda návrh nového zákona o kybernetické bezpečnosti. Cílem nového zákona je především posílení kybernetické bezpečnosti České republiky v kontextu rostoucího nebezpečí kybernetických hrozeb. Zákon proto nastavuje přísnější pravidla a vyšší požadavky na kybernetickou bezpečnost jak pro státní orgány, tak pro soukromé firmy.
Zdroje: Data.gov.cz, DigitalSecurityGuide.eset.com, DostupnýAdvokát.cz, Microsoft.com, NÚKIB.cz
Sára Aiblová je studentkou brněnské právnické fakulty. Kromě práva se zajímá o psychologii, kulturu a cestování. Baví ji prozkoumávat aktuální témata ze světa technologií či wellness a předávat je čtenářům.